Die Apps hatten Mitarbeiter der US-amerikanischen IT-Sicherheitsfirma Checkpoint entdeckt und vergangene Woche auf Ihrer Webseite darüber berichtet. Die Software, die sich in den Apps verbarg und die unerwünschten Funktionen ausführte, tauften sie "AdultSwine". Eine Liste mit den Namen der betroffenen Apps gibt es am Ende des Berichtes.

[Update 19.01] Fast zeitlgeich berichteten die Forscher über einige Schadprogramme, die sich im Play-Store als unter anderem als Taschenlampen-Apps tarnen. Sie blenden ebenfalls regelwidrig Werbung ein. Folgende Apps sind betroffen:

• Smart Flashlight
• Cool Flashlight
• Flashlight Pro
• Network Guard
• Realtime Cleaner
• Call Recorder Pro

Sie wurden inzwischen aus dem Play-Strore entfernt. Falls Sie eine davon nutzen, sollten Sie die App deinstallieren.

Schadprogramm mit vielen Funktionen

Eine Funktion von AdultSwine ist, unangemessene Werbung anzuzeigen. Die Werbebanner erscheinen dabei außerhalb der ursprünglichen App und überlagern zum Beispiel andere Anwendungen. Dabei handelt es sich auch um explizit pornographische Werbung. Dies sei auch deshalb besonders problematisch, so die Forscher, da die betroffenen Apps sich zum Teil auch an Kinder richten.

In einer zweiten Masche zeigten die betroffenen Apps angebliche Gewinnbenachrichtigungen an, zum Beispiel für ein iPhone. Um den Gewinn zu erhalten, solle man dann ein Formular ausfüllen. Mithilfe der Eingaben in das betrügerische Formular schlossen die Apps dann ohne Wissen der Nutzer teure Aboverträge ab.

In einem dritten Szenario drängten die Schadprogramme mit gefälschten Warnhinweisen ihre Opfer dazu, zweifelhafte Antiviren-Apps zu installieren.

Dabei verfahren die Apps immer nach dem gleichen Muster: nachdem sie aus dem Play Store installiert werden, senden sie Informationen über das Gerät des Nutzers an einen Server, das sogenannte Command&Control-Center. Von dieser Zentrale erhalten sie dann weitere Inhalte und Anweisungen.

Angebliche Spiele-Erweiterungen

Woher die Schadprogramme stammen, ist unklar. Es könnte einerseits sein, dass die betreffenden Apps von den Betrügern selbst stammen. Es wäre aber auch möglich, dass die Schadfunktion ohne das Wissen des Entwicklers in die App eingeschleust wurde.

Gemeinsam ist den betroffenen Apps, dass sie vorgeben, Zusatzfunktionen oder verwandte Anwendungen für populäre Spiele zu sein. Zum Beispiel für die beliebte Kinder-App "Lego Starwars" (Drawing Lessons Lego Star Wars) oder für das populäre Spiel "MineCraft" (Addon GTA for Minecraft PE).

Dies ist übrigens ein sehr beliebter Trick für unseriöse Apps aller Art, um Nutzer zur Installation zu bewegen. So sind auch immer wieder vermeintliche Premium- und Ergänzungs-Programme zu WhatsApp, World of Warcraft oder Pokémon Go im Umlauf, die allesamt nichts mit dem jeweiligen Markeninhaber zu tun haben.

Insgesamt wurden alle 60 Apps zwischen drei und sieben Millionen Mal heruntergeladen.Google hat die Apps mittlerweile aus dem Play-Store gelöscht.

Vorsicht trotz Play Protect

Der Fall zeigt einmal mehr, dass man sich nicht vollständig auf die Sicherheitsüberprüfungen im Google Play-Store verlassen kann. Auch dort finden sich mitunter Schadprogramme.

Über das in Android integrierte Schutzprogramm Google Play Protect heißt es zwar, dass es erwiesene Schad-Apps auch von betroffenen Endgeräten löscht. Wie Google entscheidet, welche Apps von dieser (umstrittenen) Praxis erfasst werden, ist allerdings nicht bekannt. Im Artikel von Checkpoint sind alle 60 Apps aufgelistet. Man sollte zur Sicherheit davon ausgehen, dass man sie manuell installieren muss.